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In het wetgevingsoverleg met de vaste Kamercommissie voor Onderwijs, 
Cultuur en Wetenschap op 10 juni 2015 heb ik toegezegd u te informeren 
over de plannen van aanpak voor het oplossen van de onvolkomenheden, 
zoals geconstateerd door de Algemene Rekenkamer in het verantwoor- 
dingsonderzoek over 2014 (Kamerstuk 34 200 VIM, nr. 2). 

In de bijlage bij deze brief geef ik een overzicht van elk van de plannen 
van aanpak en de stand van zaken daarbij. De plannen zijn gericht op het 
oplossen van de onvolkomenheden in 2015. 

De Minister van Onderwijs, Cultuur en Wetenschap, 

M. Bussemaker 
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BIJLAGE 


OVERZICHT PLANNEN VAN AANPAK PER ONVOLKOMENHEID 


1. Subsidiebeheer 

Analyse 

De Algemene Rekenkamer constateert evenals vorig jaar een tekort¬ 
koming op het beheer van de subsidies die door DUO worden verstrekt. 
Weliswaar zijn in 2014 instrumenten ontwikkeld, is gestart met de 
implementatie van een nieuwe werkwijze en is de opzet van het beheer 
verbeterd, maar toch laten controleresultaten een verslechterd beeld zien. 
De Algemene Rekenkamer schrijft dit toe aan aanloopproblemen en roept 
de Minister op nu stappen te zetten en de problemen in 2015 op te lossen. 
De problemen doen zich met name voor in de zogenaamde koppelvlakken 
in de keten tussen beleid en uitvoering en de implementatie van de 
nieuwe manier van werken. 

Aanpak en voortgang 

- De regie over het subsidieproces van OCW (van aanvraag tot verlening 
en vaststelling) is eenduidig bij DUO neergelegd. 

- Alle lopende dossiers worden geanalyseerd op rechtmatigheidsaspec- 
ten. Hiertoe is een 100% controle ingesteld als onderdeel van de 
bestaande procedure. 

- De verbeterde procesinrichting wordt momenteel geïmplementeerd. In 

2014 is namelijk de informatievoorziening vanuit het proces verbeterd 
en zijn verdere wijzigingen in het subsidieproces uitgewerkt. Hiermee 
is een betere sturing en beheersing van het subsidieproces beoogd, 
opdat verzekerd is dat verlening en vaststelling volgens de regels 
gebeurt. 

- Het nieuwe workflow-managementsysteem is in het tweede kwartaal 

2015 geïmplementeerd, waardoor termijnbewaking beter mogelijk is. 

- DUO rapporteert maandelijks aan de beleidsdirecties en aan de 
directeur Financieel-Economische Zaken over de werking van het 
subsidieproces OCW en de eventuele opmerkingen bij dossiers. Op 
basis van deze rapportages worden waar nodig maatregelen geno¬ 
men. 

- De Auditdienst Rijk is verzocht een tussenrapportage op te stellen over 
de concrete dossiers en de werking van het subsidieproces over de 
eerste helft van 2015. 

Beoogd resultaat in 2015 

Een proces waarin geen termijnoverschrijdingen meer plaatsvinden en 
waarin eventuele rechtmatigheidsfouten bij het opstellen van de 
verleningsbeschikking en bij het vaststellen van de subsidie worden 
voorkomen. Een deel van de subsidies die vóór 2015 zijn verleend, zullen 
mogelijk niet meer gecorrigeerd kunnen worden. Dit zal in het dossier 
worden toegelicht. 

2. Inkoopbeheer Nationaal Archief 

Analyse 

De Algemene Rekenkamer constateert dat de samenhang tussen 
contractenregister, aanbestedingskalender en spendanalyse ontbreekt. 
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Aanpak en voortgang 


- Het Nationaal Archief heeft in 2014 verbeteringen doorgevoerd in het 
financieel beheer. De geplande aanbestedingen zijn opgenomen in de 
zogenaamde aanbestedingskalender van het Nationaal Archief. Het 
digitale contractregister (met daarin alle basisgegevens over de 
afgesloten contracten) is in gebruik genomen en er worden uitgebreide 
analyses gemaakt van de inkopen die zijn gedaan (spendanalyses). 

- Het contractregister en de spendanalyse dienen als basis voor de 
periodieke update van de aanbestedingskalender. Daarmee worden de 
beheersmaatregelen een samenhangend geheel. 

- Verder wordt de inkoopfunctie van het Nationaal Archief tegen het licht 
gehouden en processen ingericht om optimaal samen te werken met 
het Inkoop Uitvoerings Centrum Noord. 

- De ingezette verbeteracties worden in 2015 voortgezet door de nog 
niet gedigitaliseerde contracten over te zetten in het nieuwe contractre¬ 
gister. Ondersteuning is georganiseerd bij het invoeren en controleren 
van alle contracten in het contractregister. 

- Een spendanalyse over 2014 is inmiddels gemaakt. Op basis hiervan 
kan het Nationaal Archief waar nodig bijsturen en de aanbestedingska¬ 
lender aanvullen. 

Beoogd resultaat in 2015 

Voor 2015 is het doel dat de spendanalyse, het contractregister en de 
aanbestedingskalender geborgd zijn en een samenhangend geheel 
vormen. 

3. Financieel beheer Rijksdienst voor het Cultureel Erfgoed 

Analyse 

De Algemene Rekenkamer constateert dat de samenwerking met 
betrekking tot 

inkoopbeheer tussen het Inkoop Uitvoerings Centrum Noord en de 
Rijksdienst voor het Cultureel Erfgoed nog niet optimaal is. Verder 
constateert de Algemene Rekenkamer dat er nog een achterstand is bij het 
vaststellen van subsidies bij de Rijksdienst voor het Cultureel Erfgoed. 

Aanpak en voortgang 

- De Rijksdienst voor het Cultureel Erfgoed is vorig jaar gestart met 
verbeteringen in het financieel beheer. Dit heeft geresulteerd in diverse 
beheersmaatregelen die in 2015 worden uitgevoerd en geconsoli¬ 
deerd. Eén van de maatregelen betrof het overhevelen van de 
inkoopdienstverlening van de Rijksdienst voor het Cultureel Erfgoed 
naar het Inkoop Uitvoerings Centrum Noord. 

- De Rijksdienst voor het Cultureel Erfgoed gaat verder met de eindfase 
van het project om de tekortkoming bij het vaststellen van subsidies 
op te lossen. Het project is eind 2014 in opzet afgerond. 

- Er is een planning opgesteld die gericht is op het volledig wegwerken 
van de achterstanden in 2015. Het was namelijk niet gelukt om in 2014 
de werkvoorraad vast te stellen subsidies weg te werken. 

- De Dienstverleningsafspraak en een Specifieke Dienstverleningsaf- 
spraak tussen de Rijksdienst voor het Cultureel Erfgoed en het Inkoop 
Uitvoerings Centrum Noord zijn inmiddels vastgesteld. 

- De organisatie rondom de samenwerking krijgt onder meer verder 
vorm door deelname van de Rijksdienst voor het Cultureel Erfgoed aan 
de Klantenraad van het Inkoop Uitvoerings Centrum Noord. 
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Beoogd resultaat in 2015 


De achterstanden in de werkvoorraad zullen in 2015 weggewerkt zijn. 
Inkoopbeheer bij Rijksdienst voor het Cultureel Erfgoed is op orde. 

4. Informatiebeveiliging bestuursdepartement OCW 

Analyse 

In de rapportage van de Algemene Rekenkamer is naar voren gekomen 
dat opzet en bestaan van de normen uit de Baseline Informatiebeveiliging 
rijksoverheid (BIR) (grotendeels) wel aanwezig zijn, maar dat werking van 
de BIR-normen zich in praktijk nog moet bewijzen. De Algemene Reken¬ 
kamer beveelt de Minister van OCW aan de BIR zo volledig mogelijk te 
implementeren en tevens te laten onderzoeken of de geïmplementeerde 
maatregelen in de praktijk ook goed werken. 

Aanpak en voortgang 

- Het uitgangspunt bij dit dossier is dat de verantwoordelijkheid van de 
implementatie BIR berust bij de lijnmanager. De lijnmanagers binnen 
OCW rapporteren voor hun deel van de integrale informatiebeveiliging 
via de jaarlijkse planning en control-cyclus. 

- Tussentijds worden informatiebijeenkomsten georganiseerd om 
organisatieonderdelen te ondersteunen bij het treffen van maatregelen 
op het gebied van implementatie van de BIR. 

- OCW laat onderzoek verrichten naar de werking van enige maatrege¬ 
len zoals het uitvoeren van zelf-assesments en aandacht voor 
ICT-toegangsrechten. 

- Het proces waarin toegangsrechten worden verstrekt, is inmiddels 
geanalyseerd en voorstellen voor verbetering van het proces en de 
daaronder liggende automatisering zijn geaccordeerd. 

- De regiegroep Informatiebeveiliging komt maandelijks bijeen. De 
(belangrijkste) organisatieonderdelen bespreken hier de voortgang van 
de implementatie van alle BIR-normen, aandachtspunten en delen 
kennis en ervaring. 

- De Auditdienst Rijk zal in oktober een audit uitvoeren op het werkings- 
aspect van de BIR-normen. Dit om objectief te kunnen vaststellen in 
hoeverre de normen in de praktijk werken. 

Beoogd resultaat in 2015 

OCW past de BIR zoveel mogelijk toe, in andere gevallen wordt dit 
toegelicht («comply or explain»). 

De implementatie en toepassing van BIR-normen in het dossier integrale 
beveiliging maken onderdeel uit van de reguliere planning en control- 
cyclus van geheel OCW, zodat daar continu op gestuurd wordt. 

5. Informatiebeveiliging DUO 

Analyse 

De Algemene Rekenkamer beveelt de Minister van OCW aan de maatre¬ 
gelen volgens de BIR-normen bij de Dienst Uitvoering Onderwijs (DUO) 
verder te implementeren en afsluitend te laten onderzoeken of de 
geïmplementeerde maatregelen in de praktijk ook goed werken. In het 
bijzonder vraagt de Algemene Rekenkamer aandacht voor het uitvoeren 
van analyses per vitaal bedrijfsproces en bijbehorende systemen. 
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Aanpak en voortgang 


- Door het uitvoeren van een analyse per vitaal bedrijfsproces worden 
de betrouwbaarheidseisen per proces inzichtelijk gemaakt. 

- DUO stelt een informatiebeveiligingsplan op dat als basis dient voor 
alle informatie- beveiligingstaken inclusief de continue kwaliteitsverbe¬ 
tering als onderdeel van de Plan-Do-Check -Act-cyclus. Beveiligings¬ 
taken betreffen o.a.: het herhalen van bewustzijn-trajecten, continu 
uitvoeren van beveiligingsanalyses en het herhaald oefenen van 
bedrijfscontinuïteit. Met deze uitgebreide set van maatregelen krijgt de 
informatiebeveiliging continue aandacht binnen de organisatie. 

- De risicoanalyses voor de strategische en vitale bedrijfsprocessen 
«Innen» en «BRON HO» (Basis Register Onderwijs Hoger Onderwijs) 
zijn afgerond. 

- Voor autorisatiebeheer en toegangsbeleid zijn maatregelen genomen 
zodat wordt voldaan aan de voorschriften BIR. De komende maanden 
wordt gewerkt aan de automatisering van de processen. 

- DUO rondt de acties af om de tekortkomingen weg te werken. De 
uitvoering van de acties op de tekortkomingen alsmede de sturing op 
de reguliere informatiebeveiliging is geborgd bij de aangestelde 
manager Informatiebeveiliging en Privacy. In de ingestelde Taskforce 
Informatiebeveiliging DUO onder leiding van de plv. DG DUO, wordt 
de voortgang van de benodigde acties gemonitord aan de hand van 
highiightrapportages. Deze worden maandelijks besproken in de 
Taskforce Informatiebeveiliging. Waar nodig vindt bijsturing plaats. 

Beoogd resultaat in 2015 

Eind 2015 zijn alle risicoanalyses voor de strategische en vitale bedrijfs¬ 
processen van DUO opgesteld. De tekortkomingen zijn weggenomen en 
DUO is in control op het aspect Informatiebeveiliging (conform de eisen 
vanuit de BIR) met als resultaat een goed en blijvend werkende Informa- 
tiebeveiligingsorganisatie ten behoeve van DUO. 
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